网工技术要点,快来学!
48小时系统班试听入口
网工技术要点,快来学!
前文指路:【网工技术要点】华为交换机配置SNMP
[Quidway]snmp-agent ? community 为SNMPv1&SNMPv2c访问设置团体名 group 设置基于用户安全模型的组 local-engineid 设置本地SNMP实体的引擎ID mib-view 创建或者更新SNMP MIB视图的信息 packet 设置SNMP报文参数 sys-info 设置该设备节点的系统信息 target-host 设置接收SNMP通知/陷阱报文的目标主机 trap 设置SNMP 陷阱/通知相关参数 usm-user 设置SNMP实体访问用户
1、SNMP的版本
[Quidway]snmp-agent sys-info version ? all 使设备支持版本SNMPv1,SNMPv2c和SNMPv3 v1 支持SNMPv1 v2c 支持SNMPv2c v3 支持SNMPv3
2、设置团体名
SNMPV1、SNMPV2C采用团体名认证。SNMP团体(Community)用一个字符串来命名,称为团体名(Community Name)。SNMP团体名用来定义SNMP manager和SNMP agent的关系。团体名起到了类似于密码的作用,可以限制SNMP manager访问以太网交换机上的SNMP agent。用户可以选择指定以下一个或者多个与团体名相关的特性。
定义团体(community)可以访问的所有MIB对象的子集的MIB视图。
团体可以访问的MIB对象的读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
请在系统视图下进行下列配置:
对于v1 v2c来说,只需要设定团体字即可:
[Quidway]snmp-agent sys-info version v1 v2c [Quidway]snmp-agent community ? read 该团体名在指定视图内有只读权限 write 该团体名在指定视图内有读写权限 [Quidway]snmp-agent community read public [Quidway]snmp-agent community write private
3、设置管理员的标识及联系方法
sysContact是描述系统维护联系信息的字符串,设备维护人员可以利用维护信息了解该设备的生产厂商等信息,如果设备发生故障,设备维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系。可以使用下面的命令来设置系统维护联系信息。
4、设置以太网交换机的位置信息
sysLocation是MIB中system组的一个管理变量,用于表示被管理设备的位置。
可以使用下面的命令来设置以太网交换机的位置信息。
请在系统视图下进行下列配置:
5、设置SNMP的版本信息
可以使用下面的命令来设置以太网交换机的SNMP的版本信息。
请在系统视图下进行下列配置:
6、允许或禁止发送Trap
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。
可以使用下面的命令来允许或禁止被管理设备发送Trap信息:
请在相应视图下进行下列配置:
设置Trap目标主机的地址,可以使用下面的命令来设置或删除发送Trap信息的目标主机的IP地址。
请在系统视图下进行下列配置:
设置Trap报文的保存时间,可以使用下面的命令来设置Trap报文的保存时间。超过该时间的Trap报文都将被丢弃。
请在系统视图下进行下列配置,缺省的Trap报文保存时间为120秒:
指定发送Trap的源地址,可以使用下面的命令来设定或取消发送Trap的源地址。
请在系统视图下进行下列配置:
设置Trap消息:
[Quidway]snmp-agent trap ? enable SNMP陷阱/通知使能命令组 life 设置trap老化时间 queue-size 每个TRAP消息队列长度 source 设置Trap报文源地址
[Quidway]snmp-agent trap enable [Quidway]snmp-agent target-host ? trap 指定该主机为trap主机 [Quidway]snmp-agent target-host trap ? address 指定用于SNMP消息产生的传输地址 [Quidway]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 ? params 指定用于SNMP消息产生的SNMP目标主机信息 [Quidway]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params ? securityname 指定代表生成SNMP消息的主体名 [Quidway]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname ? STRING 指定安全名字符串 [Quidway]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname public [Quidway]
7、设置本地或远端设备的引擎ID
可以使用下面的命令来设置本地或远端设备的引擎ID。
设备引擎ID必须是16进制数字,至少5个字符,可以是IP地址、MAC地址或自己定义的文本,缺省为公司的企业号+设备信息,请在系统视图下进行下列配置。
8、设置或删除一个SNMP的组
可以使用下面的命令来设置或删除SNMP的一个组。
请在系统视图下进行下列配置:
9、SNMP组添加一个新用户或删除一个用户
可以使用下面的命令来为SNMP组添加或删除一个用户。
请在系统视图下进行下列配置:
对于V3,需要的是MIB视图和读写的组。
snmp v3设置:
[Quidway]snmp-agent sys-info version v3 [Quidway]snmp-agent mib-view ? excluded 排除MIB子树 included 包括MIB子树 [Quidway]snmp-agent mib-view included ? STRING 视图名字符串 [Quidway]snmp-agent mib-view included wnmview ? STRING MIB对象子树名称 [Quidway]snmp-agent mib-view included wnmview internet [Quidway]snmp-agent group v3 wnmgroup ? acl 为该组指定访问控制列表 authentication 指明该组名具有认证不加密的安全级别 notify-view 指定该组名对应的通知视图 privacy 指明该组名具有认证和加密的安全级别 read-view 设置该组名对应的只读视图 write-view 指定该组名对应的读写视图 [Quidway]snmp-agent group v3 wnmgroup privacy ? acl 为该组指定访问控制列表 notify-view 指定该组名对应的通知视图 read-view 设置该组名对应的只读视图 write-view 指定该组名对应的读写视图 [Quidway]snmp-agent group v3 wnmgroup privacy read-view wnmview write-view wnmview notify-view wnmview [Quidway]snmp-agent usm-user ? v1 利用SNMPv1安全模型的用户 v2c 利用SNMPv2c安全模型的用户 v3 利用USM(SNMPv3)安全模型的用户 [Quidway]snmp-agent usm-user v3 ? STRING 用户名字符串 [Quidway]snmp-agent usm-user v3 wnm ? STRING 指定用户所属的组名字符串 [Quidway]snmp-agent usm-user v3 wnm wnmview ? acl 为该用户设定访问控制列表 authentication-mode 指定用户鉴别模式 [Quidway]snmp-agent usm-user v3 wnm wnmgroup authentication-mode ? md5 使用HMAC MD5算法进行鉴别 sha 使用HMAC SHA算法进行鉴别 [Quidway]snmp-agent usm-user v3 wnm wnmgroup authentication-mode md5 1234567 [Quidway]snmp-agent trap enable standard [Quidway]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname wnm v3 [Quidway]
10、创建或更新视图的信息或删除视图
用户可以为团体指定视图,以限制SNMP manager可以访问的MIB对象。用户可以使用预先定义的视图,也可以自己生成视图。可以使用下面的命令创建、更新视图的信息或删除视图。
请在系统视图下进行下列配置:
11、设置Agent接收/发送的SNMP消息包的大小
可以使用下面的命令来设置Agent能接收/发送的SNMP消息包的大小。
Agent能接收/发送的SNMP消息包大小的取值范围为484~17940,单位为字节,缺省值为1500字节。
请在系统视图下进行下列配置:
12、终止SNMP Agent运行
禁止SNMP Agent的运行。
禁止SNMP Agent运行以后,用户配置任何一条snmp-agent命令,都将重新启动SNMP Agent。
请在系统视图下进行如下配置:
13、SNMP显示和调试
在完成上述配置后,在所有视图下执行display命令可以显示配置后SNMP的运行情况,通过查看显示信息验证配置的效果。
网管无法通过SNMP纳管交换机,或者说网管无法与交换机进行SNMP对接,通常是因为网络或者SNMP配置原因导致。您可以从以下几方面进行排查和处理:
检查网络是否可以ping通。
检查SNMP是否有应用ACL。
检查交换机上是否有undo snmp-agent protocol source-status all-interface配置。
检查交换机上是否有SNMP认证失败等日志。
检查交换机和网管的SNMP版本是否一致。
针对SNMPv2c版本,检查交换机和网管的团体名是否一致。
针对SNMPv3版本,检查用户的安全级别是否正确。
针对SNMPv3版本,检查用户的认证+加密的模式及密码是否和网管侧一致。
检查防火墙是否允许SNMP报文通过。
检查网络中是否有重复的SNMP引擎ID。
推荐阅读 :
>>>【必备干货】网工入门必会桥接教程,外网+GNS3+Vmware
网工界市场认可度极高的华为认证,你考了吗?
拿下华为HCIE认证之后,你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
技术大佬年薪可达30w+